| Microsoft Güvenlik Bülteni MS02-038 SQL Server 2000'de işaretlenmemiş arabellek |
Şimdi İndirin |
Microsoft Güvenlik Bülteni MS02-038 Sıralama ve Özet
- Yayıncı adı:
- By Microsoft
- yayıncı web sitesi:
- http://www.microsoft.com/
- İşletim sistemleri:
- Windows, Windows 2000
- Ek gereksinimler:
- Microsoft SQL Server 2000. Microsoft Desktop Engine (MSDE) 2000
Microsoft Güvenlik Bülteni MS02-038 Etiketler
Microsoft Güvenlik Bülteni MS02-038 Açıklama
Bu yama, SQL Server 2000 ve MSDE 2000'i etkileyen yeni keşfedilen iki güvenlik açığını ortadan kaldırır: SQL Server 2000'in bir parçası olarak gönderilen çeşitli veritabanı tutarlılığı dama (DBCCS) içinde meydana gelen bir tampon geçişli kırılganlığı. DBCCS, komut konsolu yardımcı programlarıdır. Bakım ve diğer işlemlerin bir SQL Server'da yapılmasına izin verin. Bunların birçoğu yalnızca Sysadmin tarafından yürütülebilir olsa da, bazıları DB_Owner ve DB_ddladmin rollerinin üyeleri tarafından da yürütülebilir. En ciddi durumda, bu kırılganlığı sömürmek, bir saldırganın SQL Server hizmeti bağlamında kod çalıştırmasını sağlayacaktır, böylece saldırgana sunucudaki tüm veritabanları üzerinde tam kontrol sağlar. Veritabanı çoğaltmasında kullanılan iki saklı yordamda meydana gelen bir SQL enjeksiyon güvenlik açığı. Bunlardan biri, yalnızca DB_Owner rolüne atanan kullanıcılar tarafından yönetilebilir; Diğer, bir izin hatası nedeniyle, sunucuya giriş yapabilen herhangi bir kullanıcı tarafından çalıştırılabilir. Güvenlik açığının sömürülmesi, saldırganın sunucudaki işletim sistemi komutlarını çalıştırmasını sağlayabilir, ancak aşağıda tartışıldığı gibi önemli miktarda hafifletme faktörlerine tabidir.
Microsoft Güvenlik Bülteni MS02-038 İlgili Yazılım